Cualquier organización, sean grandes compañías o pequeñas empresas, recibirá ciberataques tarde o temprano. Es una opinión que comparten todos los expertos en seguridad informática. Sin embargo, la escasa percepción del peligro y los efectos de la crisis económica han hecho que en España las compañías sean las menos protegidas de los países de su entorno.
Un estudio de la consultora Quocirca encargado por la compañía de seguridad Tred Micro, en el que participan 600 organizaciones europeas procedentes de Alemania, España, Francia, Italia, países nórdicos y Reino Unido (100 en cada país o región), refleja las consecuencias de esta dejadez para las empresas españolas investigadas: son de las más perjudicadas por los ciberataques dirigidos.
Según el informe, un 10% de las organizaciones españolas encuestadas se encuentra en la lista de las 40 que sufren peores ciberataques. De hecho, de los 10 ataques más dañinos registrados en estos países, cinco tuvieron lugar en España.
Top ten de ataques a empresas
Reino Unido | Entretenimiento | Todo tipo de datos |
Reino Unido | Servicios públicos | Datos de clientes |
España | Finanzas | Datos de tarjetas |
Italia | Finanzas | Propiedad intelectual |
Italia | Transportes | Datos de tarjetas |
España | Finanzas | Datos de clientes |
España | Retail | Datos de clientes |
España | Retail | Datos de tarjetas |
España | Servicios públicos | Datos de clientes |
Alemania | Finanzas | Sin información |
(Daños de entre 750.000 y 1,5 millones de euros. Fuente: Quocirca)
"Lo que se está comprobando en este estudio es el grado de preocupación que existe en las compañías", explica a EL ESPAÑOL David Sancho, jefe de investigación de Trend Micro Iberia. "Si preguntas a una empresa qué importancia le da a la seguridad o qué presupuesto le dedican, es posible deducir si están realmente preocupadas por este asunto".
El hecho es que en España, y según este informe, la ciberseguridad parece que no preocupa demasiado: sólo el 27% de los negocios nacionales cuenta con un plan de respuesta ante brechas de datos, un porcentaje mucho menor que el del resto de los mercados que participan en la investigación.
Crisis y exceso de confianza
Las razones de este hecho son dos, opina Sancho: una cierta despreocupación cultural y, cómo no, la depresión económica. "La crisis ha tenido un impacto brutal en los presupuestos dedicados a la seguridad", comenta este experto, que afirma que "desde 2008 y hasta este mismo año se ha puesto el acento en otras muchas cosas y, además, la seguridad es algo invisible y por tanto no valorado". En cualquier caso, muchos empresarios se han visto obligados a elegir entre seguir con su negocio o proteger sus datos y, sin dinero, poco pueden hacer a este respecto, apunta.
"Por otra parte", añade Sancho, "no hay una concienciación por parte de las empresas españolas de que son objetivo; todo el mundo piensa: '¿Quién me va a atacar?'. Pero es que siempre hay secretos que esconder: quiénes son tus empleados, tus clientes, o incluso algo tan inofensivo a priori como tus cuentas de e-mail, que se pueden usar para enviar spam todos los días...". "Bien por ignorancia o porque subestimamos el hecho de que todo el mundo es objetivo de un ciberataque, se impone ese espíritu tan español por el que pensamos que nunca nos van a atacar", apunta.
Se impone ese espíritu tan español por el que pensamos que nunca nos van a atacar
Este informe analiza los llamados ataques dirigidos, que pueden dividirse en "persistentes" y "volátiles". Los primeros, muy sofisticados, pueden durar meses o incluso años; los intrusos se meten en las organizaciones mediante técnicas de ingeniería social y suelen pasar desapercibidos hasta que sus efectos destructivos son evidentes. Los segundos están diseñados para atacar objetivos muy específicos y desaparecer enseguida. En ambos casos y por definición, se trata de ataques no masivos y la bala que utilizan es muy precisa.
"Aunque la metodología que se usa varía muchísimo, precisamente porque son dirigidos a empresas concretas o a determinadas personas, existen ciertos patrones", explica Sancho. "Normalmente suelen entrar por e-mail, es casi una tendencia", comenta, y añade que "el correo electrónico se personaliza al máximo en un determinado individuo dentro de la organización" para generar su confianza. La información recopilada por los ciberdelicuentes puede provenir de prácticamente cualquier sitio, desde los perfiles abiertos de redes sociales hasta bases de datos hackeadas como la de Ashley Madison, en donde puede haber perfiles de ejecutivos con información valiosísima.
Una vez dentro, con el malware instalado en el sistema objetivo, el ataque es casi inevitable: robo de datos, de información financiera, de secretos comerciales o incluso boicoteos industriales.
Hay que mentalizarse de que nos van a atacar, no es que sea una posibilidad remota, es que es un hecho
¿Cómo se defiende uno de todo esto? Sancho es tajante: "Lo primero, con educación, sobre todo para la gente que tiene acceso a datos comprometedores o sensibles". "Hay que mentalizarse de que nos van a atacar, no es que sea una posibilidad remota, es que es un hecho, pero no sabemos cuándo y hay que estar preparados", asegura.
Existen sistemas de defensa apropiados para este tipo de ataques. El antivirus tradicional, que funciona como una gran base de datos de amenazas comunes que llegan a todos los usuarios del mismo, de poco sirve frente a este tipo de ataque tan personalizado. Un sistema que puede funcionar es uno que haga que cualquier archivo sospechoso o raro pueda ser ejecutado en un entorno virtual específico e idéntico al real de la empresa protegida, de forma que se comprueben sus efectos. Según Sancho, "es la única manera de analizar ataques que nunca has visto antes y que nunca vas a volver a ver".